Групповые политики Active Directory для Linux

Интересно, кто-нибудь это будет юзать на практике? Людям, у которых мозги прошиты патчами от M$ давно хочется линуксы в АД загнать

А что в GNU/Linux, есть аналог с такой же функцанальностью??:-P

Сходи по ссылке и посмотри скриншоты

какие нафиг скриншоты по настройке Линукса?

вообще нигде не написано зачем нужен АД и каков сценарий использования

Active Directory для Linux - бред. Не надо скрещивать ужа с ежом. Что дальше? Quagga для windows, back-end для AD в PostgreSQL?

Ваше предложение для его замены, у Novell есть NDS правда, а что из GPL-ного есть того же уровня и класса управления??;)

Кто-то в соседнем топике орал, что пока групповых политик для Linux не будет, смысла внедрять Linux на предприятии - нет. Теперь когда оно есть - орут что это не нужно

Давно уже загнаны, а в чем пробелма?

кто загнан?

А смысл какой, как это реально используется?

Ахтунг. Предлагаю ответным ударом донести до вендузятнегов традиционные ценности: групповой секс без политики, факт наличия пивных и ресторанов, доступных энтерпрайз девочек, что обслужат без всякой аутентификации, а также наличие встроенной в дистрибутивы линупса нереально забористой травы.

Еееее!!! Наконец-то я смогу продеплоить emacs и приаттачить его всей бухгалтерии!!

лучше б аналог АД появился под unix, чтоб отказаться от виндовых серверов.

> Еееее!!! Наконец-то я смогу продеплоить emacs и приаттачить его всей бухгалтерии!!

Торопыжка, да. Ты вот это почитай:

"Я проводил свои тесты в AD-домене Microsoft Windows Server 2003 Service Pack 2, к которому присоединил с помощью Likewise Open клиент Ubuntu 7.10. При этом выяснилось, что для выполнения операции присоединения желательно присвоить Ubuntu-клиенту статический сетевой адрес, так как процесс потребовал рестарта Ubuntu-сервиса NetworkManager и после него DHCP (Dynamic Host Configuration Protocol) надолго затормозил с распознаванием установок Likewise Open.

Временный переход на статический адрес удачно решил проблему, и после присоединения к домену я уже мог входить в систему клиента Ubuntu как пользователь AD и в онлайновом, и в автономном режиме благодаря кэшированию аутентификационных данных. Не исключаю, что проблему с DHCP можно было бы решить и с помощью установки более длительного времени ожидания для процесса присоединения клиента."

Походу это гамно было придумано чтобы затормозить любой линукс и добавить характерных глючков и костылей в систему. Да здравствует десятиминутный логин в AD!

>линупса

К логопеду, быдло!

Автор обзор на pcweek имеет кривые руки. Ubuntu 8.04 - работает все из коробки, без секса и тормозов.

Версия likewise-open вообще ставится одним кликом. Прикольно затем на компы бухгалтерш лезть командой ssh 'DOMAIN\vasya'@buh2

Ну ка подскажи промышленное решение на OpenLDAP и скриптах Python? Likewise по крайней мере предоставляет поддержку.

Для меня в компании имеет значение Active Derictory только для удобного входа любого юзверя с любой машины. Других плюсов и полезных фич, увы, не вижу. И то, на днях думаю этот домен развалить и каждому задать статический IP'шник или, скорее даже всего, поднастрою dhcpd и bind9. Все!

Нах тогда в остальном отношении AD'шка или, тем более, OpenLDAP?

Господа,

речь вроде шла о групповых политиках для централизованного управления машинами, а никак не про авторизацию в AD. Linux и приложения умеют авторизоваться с незапамятных времен

>речь вроде шла о групповых политиках

Об чем и речь, просто народ не понимает разницу между централизованной авторизацией и групповыми политиками. И вобще ничерта не смыслит в продуктах типа AD, а свои пять хвастливых копеек вставить хочет.

стоит вопрос, для чего авторизоваться линуксу в AD? Им потом рулить будут администраторы ада групповыми политиками?

По рукам, есть сеть на 1500 компов. Сделаешь функциональную замену политикам от AD, которые будут интуитивно понятны любому виндоадмину - плачу $400

Да, именно так и написано по ссылке в новости...;)

Hokum: для миграции

>>Ваше предложение для его замены, у Novell есть NDS правда, а что из GPL-ного есть того же уровня и класса управления??;)

Ну да. Сначала делаем неуправляемую падучую одноюзеровскую систему. Заменяем нормальный конфиг невнятными регистрами. Прикручиваем изуродованный лдап, переименовываем его в АД и называем все это восьмым чудом света. Это называется "уровень".

По поводу "класса" - сходите на мсдн. Там расписано как админко должен контролировать, бекапить и ремонтировать эту поделку. Одним из пунктов зачастую увидите переустановку сервера. А одним из "советов" по контролю - периодически счелкать мышей по дереву дабы отследить отвалившиеся ветки. ЭТО ЖЕСТЬ.При всем при том что скрипеть под вендой на порядок сложнее.

Никак не могу в толк взять что людям в АД нравится? Где они увидели "управление".

>По рукам, есть сеть на 1500 компов. Сделаешь функциональную замену политикам от AD, которые будут интуитивно понятны любому виндоадмину - плачу $400

За каждый комп?

людям в AD нравится возможность:

1) запуска логон/логофф и прочих скриптов 2) возможность централизованного назначения инсталляции скриптов 3) централизованного отключения всяких флэшек, CD и прочих прибабахов

Где это у Новела есть?

Все все ес-но, как предлагал анонимус

>Никак не могу в толк взять что людям в АД нравится? Где они увидели "управление".

Ты лучше покажи пример управления в линуксе.

Это уже к делу не относиться, это всего лишь проблемы реализации её от Microsoft, про их руки все и так знают, речь о том, какие она задачи решает, именно о GP, а не о LDAP сервере, который у них гавно...:)

Что-то странные тут комментарии :) Да и новость такая же.

Подключение к MS-AD и авторизация есть сегодня во всех EL, это не новость. Как кстати, и к другим LDAP системам. Если уж на то пошло, тот же nis полный аналог в этом смысле. Ну а серверов аналогичных MS-AD уж пруд пруди, я уж молчу, что сам MS-AD попытка сделать аналог NDS, который крутиться и на SLES.

Group Policy - тоже не новость, и автор заметки тут явно промахнулся.

Весть смысл сводиться к управлению конкретными приложениями у пользователя, в частности GNOME etc. Ну может это и полезно, хотя я сам лично KDE prefer, где есть свой киоск.

> По рукам, есть сеть на 1500 компов. Сделаешь функциональную замену политикам от AD, которые будут интуитивно понятны любому виндоадмину - плачу $400

Ах, интуитивно понятны? Может, чтобы было интуитивно понятно водопроводчику сделать? RTFM!

Ты смотри, аффтар такого замечательного предложения за 300-400$ и неделю работы удалил свой оффер. Писька тонка?

А какие задачи решаются через GP?
Возможно, через cfengine можно эти задачи реализовать?

Хм... на их сайте кроме маркетингового пиара найти что-то трудно, но из того, что есть, это поиидее возможно применить, как аналог GPO, теоретически, а что оно из себя представляет на практике, кто с ним работал напишите...:)

На сервере делаешь настройки для групп(ы) компьютеров в сети, т.е. полностью рулишь компами с одного сервера.

What Cfengine Can Do

In more practical terms, the following list will give you some idea of the breadth of administration and configuration tasks that Cfengine can automate:

* Configure the network interface.
* Edit system configuration files and other text files.
* Create symbolic links.
* Check and correct the permissions and ownership of files.
* Delete unwanted files.
* Compress selected files.
* Distribute files within a network in a correct and secure manner.
* Automatically mount NFS file systems.
* Verify the presence and integrity of important files and file systems.
* Execute commands and scripts.
* Manage processes.
* Apply security-related patches and similar corrections.

Cfengine's home page is www.cfengine.org

Это я всё прочёл, поэтому и сказал, что теоритически оно может быть использовано поидее, но есть ли такие прицеденты и как оно себя ведёт на деле, мне не ясно лично...:)

Отлично оно работает.
Мой вопрос потому и звучал: "Какие задачи решают посредством GP?", чтобы понять вписываются они в возможности cfengine или нет.

> 3) централизованного отключения всяких флэшек, CD и прочих прибабахов

Не знаю, что там у Новелла, а в openLDAP у меня это реализовано. Все достаточно интуитивно и просто. С остальными пунктами не разбирался, ибо не требуется, но не вижу трудностей это сделать при необходимости.

Примерно тежи, я не администрирую Windows Active Derictory, поэтому тонкости от меня скрыты, но в целом из того, что я знаю о GPO, cfengine может решать похожие задачи в разрезе Unix, опять же, сужу исходя из того, что я знаю о GPO...:)

А как у Вас OpenLDAP управляет доступом к USB или CD???=-O

Да, тоже стало интересно

ты сундук. Юзер в группе cdrom - ему разрешен доступ к сидюку. Не в cdrom - запрещен.

элементарщина, в винде это все намного более коряво делается.

К быдлу! Логопед.

Пример как в Linux можно тысячу пользователей на тысяче рабочих станций одновременно добавить или удалить в группу cdrom?

> Какие задачи решают посредством GP?

99% - управление правами к сетевым дискам/папкам.
90% - скрипты входа/выхода из системы
80% - ограничение возможностей по управлению клиентской машиной
40% - установка/удаление софта, обновлений
05% - возможность делегировать предыдущие пункты в произвольном объеме относительно разных подмножеств управляемого множества ))

Ради последнего пункта и нужен AD.

ты не только идиот, ты еще и анонимус!

про то, что аутентификация может идти не только по /etc/passwd ты наверно даже не подумал, да?

в лдапе при нормальном лдап-клиенте это делается одним щелчком мыши (ха-ха)

иди покури маны, малыш.

З.Ы. блеять, откуда в моих интернетах столько идиотов? Школьник-куны окупировали лор!

Почитал ещё про это дело, оно всё таки немного не для этого предназначено, если я правильно понял, это средство для централизированного управления конфигурационными файлами или выполнения, какихто административных действий на серверах, а как оно будет взаимодействовать с юзерами, в разрезе управления именно юзерами, тоесть, создаём груповую политику, для 5 юзеров, чтобы они могли делать какой-то набор действий и имели определённым образом сконфигурированное окружение, такое можно зделать спомощью cfengine sdio??*GP*

А кто-нибудь юзает федоровский FDS или Redhat Directory Service. Я вот в их сторону поглядываю...

>>Ты лучше покажи пример управления в линуксе.

Пример чего? Удаленного запуска скриптов? Удаленной установки и конфигурирования софта и железа? Почитайте чтонить по администрированию никсов и поднимите на удаленном хосте ssh. Никсы тотально управляются удаленным шеллом. А уж руками вы это будете делать или скриптег набросаете - дело личное. Ну а если есть какие то сомнения - воткните диск с вендой в новый сервак (зачастую это все что может сделать админ из тьмутаракани), загрузитесь с него и попытайтесь поставить и настроить сервак удаленно, не прикасаясь к локальной консоли (стандартная фича практически всех линуксовых дистров). Или расскажите самому себе план восстановления ад на том же тмутараканьском серваке (копирование файла под линем, ибо все настройки - текстовик). Или попробуйте перенести перенаправление папок с одного сервака на другой с неболшой модификацией (смена имени сервера к примеру), желательно не перебивая их руками. Вам сразу будет виден класс и уровень сервиса за пять килобаксов.

ЗЫ Лично мне на трех десятках удаленных серверов АД приносит болше геммороя чем реалной пользы.